Posté le mai 6, 2023 à 5:18
DES HACKERS UTILISENT UNE NOUVELLE BOÎTE À OUTILS D’INJECTION WEB POUR CIBLER DES ENTREPRISES BANCAIRES ITALIENNES
Des hackers ont ciblé des clients bancaires d’entreprise Italiens dans le cadre d’une campagne de fraude financière en cours. Cette campagne s’appuie sur une nouvelle boîte à outils d’injection web connu sous le nom de drIBAN depuis au moins 2019. Cette boîte à outils a été utilisée pour lancer la campagne ciblant l’industrie financière, qui représente une menace importante.
Des hackers ciblent des entreprises bancaires Italiennes dans le cadre d’une campagne de fraude financière
Selon Federico Valentini et Alessandro Strino, chercheurs en cybersécurité à Cleafy, l’objectif principal de cette campagne de piratage était d’infecter les postes de travail Windows dans les environnements d’entreprise. Ils ont aussi tenté de changer le bénéficiaire des clients ciblés et de transférer des fonds vers des comptes bancaires illégitimes.
« L’objectif principal des opérations de fraude drIBAN est d’infecter les postes de travail Windows dans les environnements d’entreprise en essayant d’altérer les transferts bancaires légitimes effectués par les victimes en changeant le bénéficiaire et en transférant l’argent vers un compte bancaire illégitime », ont déclaré les chercheurs en cybersécurité.
La société Italienne de cybersécurité a également déclaré que les comptes bancaires sur lesquels les fonds ont été transférés appartenaient aux hackers ou à leurs affiliés. Ces autres parties étaient chargées de blanchir les fonds volés.
Les hackers ont utilisé une vieille stratégie d’injections web. Cette stratégie, qui a fait ses preuves, permet aux logiciels malveillants de déployer des scripts personnalisés du côté du client à l’aide d’une attaque de type « man-in-the-browser » (l’homme dans le navigateur). Le hacker intercepte ensuite le trafic entrant et sortant du serveur.
Les transactions frauduleuses effectuées par ces hackers sont rendues possibles par une technique connue sous le nom d’Automated Transfer System (ATS). Le système ATS peut contourner les systèmes anti-fraude mis en place par les institutions financières telles que les banques. Les hackers initient tardivement des virements non autorisés à partir d’un ordinateur appartenant à une victime.
Les opérateurs à l’origine de la boîte à outils d’injection web drIBAN sont devenus plus habiles au fil des ans. Ces hackers ont évité la détection et créé des stratégies d’ingénierie sociale efficaces. Les acteurs de la menace ont également établi une forte emprise sur leur clientèle. Leurs attaques durent généralement longtemps et ont pour cible principale les réseaux bancaires des entreprises.
La campagne de piratage dure depuis des années
Selon un rapport publié par Cleafy, les opérations du « cheval de Troie bancaire » classique ont commencé à évoluer en 2021. L’opération du cheval de Troie bancaire s’est transformée en une menace persistante avancée à ce moment-là. D’autres indications montrent également que le groupe d’activités se chevauche avec une campagne menée en 2018.
La campagne de 2018 a été attribuée à un acteur de la menace connu sous le nom de TA554. Cet acteur de menaces a été suivi par les chercheurs de Proofpoint, et les données montrent qu’il a ciblé des utilisateurs basés au Canada, en Italie et au Royaume-Uni.
La chaîne d’attaque utilisée par les acteurs de la menace commence par un e-mail certifié, également connu sous le nom de e-mail PEC. L’objectif de cette attaque est de tromper les victimes et de leur donner un faux sentiment de sécurité.
Les e-mails de phishing envoyés par les acteurs de la menace contiennent un fichier exécutable. Il s’agit d’un téléchargeur pour un logiciel malveillant connu sous le nom de sLoad ou Starslord loader. sLoad est un chargeur PowerShell qui a le potentiel de collecter des données de la victime.
sLoad est un outil de reconnaissance qui permet de recueillir et d’exfiltrer des informations à partir d’un hôte compromis. L’objectif de sLoad est d’évaluer la cible et de déployer ultérieurement une charge utile plus importante telle que Ramnit. Cette charge utile est déployée si la cible est considérée comme rentable et que les hackers peuvent en tirer des avantages financiers.
Cleafy a ajouté que la phase d’enrichissement pouvait se poursuivre pendant des jours ou des semaines. Le nombre de machines infectées détermine la durée de la phase. Les données supplémentaires volées aux victimes seront exfiltrées vers les hackers, ce qui permettra au botnet de devenir plus robuste et cohérent dans le traitement de l’exploit.
Le chargeur PowerShell sLoad utilise en outre des techniques de « living-off-the-land » (LotL) en exploitant des outils Windows légitimes tels que PowerShell et BITSAdmin. Ces techniques sont utilisées dans le cadre des mécanismes de contournement des hackers.
L’autre caractéristique de ce logiciel malveillant est qu’il peut effectuer des contre-vérifications par rapport à une liste prédéterminée de banques d’entreprise et déterminer si un poste de travail qui a été piraté est l’une des cibles. Si l’institution est une cible, le logiciel malveillant procédera à l’infection.
Les chercheurs ont ajouté que les opérateurs de botnet choisissaient les bots qui passaient ces étapes et étaient considérés comme de « nouveaux candidats » pour les opérations de fraude bancaire. Après avoir été sélectionné, le cheval de Troie bancaire Ramnit est déployé et installé sur les appareils de l’utilisateur.
